私は、2 つの異なる会社の Active Directory サーバーにリモート クエリを実行するために、メタ バックエンド経由でプロキシ サーバーとして機能するように OpenLDAP を設定しました。両方のドメインから情報を取得するという点では、すべて正常に動作します。ただし、同じ sAMAccountname が 2 つ取得され、使用している Web アプリケーションの 1 つに問題が発生する場合があります (Web アプリケーションには 1 つの検索ベースが必要なため、メタ ソリューションを使用しています)。
これが私の設定です
database meta
suffix "dc=example,dc=com"
rootdn "cn=admin,dc=example,dc=com"
rootpw "supers3cr3tpass"
conn-ttl 3600
access to * by * auth
sizelimit 1
uri "ldap://<companyA>/dc=example,dc=com"
readonly yes
lastmod off
suffixmassage "dc=example,dc=com" "dc=companyA,dc=com"
map attribute uid sAMAccountName
idassert-bind bindmethod=simple
binddn="CN=UserA,DC=companyA,DC=corp"
credentials="something"
idassert-authzFrom "*"
idle-timeout 300
keepalive 180:3:60
network-timeout 5
timeout 10
uri "ldap://companyB/dc=example,dc=com"
readonly yes
lastmod off
suffixmassage "dc=example,dc=com" "dc=companyB,dc=com"
map attribute uid sAMAccountName
idassert-bind bindmethod=simple
binddn="CN=UserB,DC=companyB,DC=com"
credentials="dontknow"
idassert-authzFrom "*"
idle-timeout 300
keepalive 180:3:60
network-timeout 5
timeout 10
検索クエリを制限できる sizelimit 句があることは知っていますが、ルックアップ/バインドを実行するために使用している rootdn には適用されません。
不思議なんだけど...
- 検索クエリから 1 つの結果のみを返す方法はありますか?
- dc=example,dc=com で終わる DN を持つ別のアカウントを使用して、バインドと検索を行うことはできますか? 理論的には、これには sizelimit 句が適用されるはずです。
アドバイスや回答をいただければ幸いです。
前もって感謝します!